Abr 27

Aún no hace un mes desde que impartí la última charla formativa sobre seguridad en la red, sobre todo orientada a menores y las redes sociales. Pero lo cierto es que los peligros en las “redes de adultos” y elementos más clásicos como el correo electrónico no han bajado en absoluto. Sin ir más lejos, como ejemplo, tengo este es un email que como  intento de Phishing se hace pasar por La Caixa que me llegó hace un par de días y que decidí analizar para mostrar los peligros que acechan al usuario corriente en el día a día del uso de su PC.

SPAM

Correo sospechoso en la bandeja de entrada

Spam_la_caixa_001

Contenido del correo sospechoso

Este es un método de phishing  que yo ya consideraba bastante cutre a día de hoy, pero que sigue funcionando perfectamente para pescar claves en la red. Se basa en crear falsos correos electrónicos simulando ser tu propio banco. En  este ejemplo es un  supuesto correo de “La Caixa”

No deja de ser curioso que un banco con el que no tengo relación de ningún tipo me envíe un correo electrónico, pero ciertamente de tener cuenta me resultaría sospechoso que me envíen un mensaje indicando que he intentado acceder a mi cuenta numerosas veces errando la clave. Teóricamente es un correo que me es enviado desde la dirección info@lacaixa.es y que google ya detecta como spam (Vale reconozco que no he elegido el ejemplo más elaborado de phishing ) Vamos a analizar detenidamente el correo. Para ello seguimos los siguientes pasos:

Spam_la_caixa_002

Acceso al contenido real del correo para analizarlo

Si vemos el correo electrónico original nos daremos cuenta de que el emisor real del correo no es la Caixa, sino que es perucata@almond.nocdirect.com . Según información de whois es un dominio registrado en 2002 en la ciudad de KIRKLAND en Whashington EEUU. Interesante ¿No?

Spam_la_caixa_004

Contenido real del correo electrónico

Si se indaga un poco más se puede comprobar otros datos que comentaremos en un futuro pero que ahora no resultan de especial interés. Así que continuemos con el correo. Como se puede ver en la parte superior el correo electrónico en cuestión tiene un enlace que aparentemente nos dirige a la web de La Caixa, pero que en realidad nos dirige a la siguiente dirección de internet:

http://perucatalogo.com/es/es/home/particulares_es/loc1.lacaixa.es/GPeticione…

Véase por donde se vea la dirección perucatalogo.com no parece una dirección legítima del supuesto banco al que nos dirige pero ¿Que muestra esa dirección?

Clon de la web LaCaixa.es

Clon de la web LaCaixa.es

La dirección en cuestión muestra aun clon de la web de LaCaixa.es. En mi opinión es un clon de la web poco logrado pero que servirá perfectamente para engañar a un usuario con conocimientos medios o bajos en informática.

Si se presta atención a la web, en la parte izquierda en un claro tono azul, que lo resalta sutilmente del resto de la web se muestra un formulario sencillo en el que se nos piden los datos de identificación de la cuenta electrónica de La Caixa. Parecería lógico intentar entrar en nuestra supuesta cuenta de La Caixa para verificar el motivo, causa o razón del bloqueo de la mima ¿No?

Datos ficticios en el formulario de robo de datos

Datos ficticios en el formulario de robo de datos

Para realizar una prueba de acceso introduzco unos datos ficticios para ver que sucede. EN este momento sucede el primer robo de datos de la cuenta que identifiquemos como cuenta de La Caixa, ya tienen nuestro teórico identificador de cuenta y la clave. El usuario atemorizado por el correo recibido ha facilitado sin darse cuenta el identificador de su cuenta y su clave.

Los datos facilitados ya son suficientemente sensibles como para comprometer la seguridad de la cuenta bancaria que el usuario de la Caixa acaba de exponer involuntariamente. Pero por si fuera poco y no contentos con ello tras hacer click en el botón de Entrar nos aparece la siguiente pantalla:

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

No contentos con todos los datos recabados hasta ahora, en este preciso momento intentan robar los datos de la tarjeta de crédito del incauto internauta. En esta ocasión y como excusa para recabar los datos de la tarjeta de Crédito/debilito que posee el usuario nos piden todos los datos de la tarjeta para proceder a un supuesto desbloqueo.

Ciertamente el desbloqueo no es tal y desde luego la tarjeta no está bloqueada, al menos por este motivo. Si procedemos a cubrir correctamente el formulario no solo estamos dando los datos identificativos de la tarjeta sino todos los datos necesarios para que puedan limpiarnos el saldo de la misma. Veamos en que desemboca esto.

Redirección a la web legítima de La Caixa

Redirección a la web legítima de La Caixa

Confirmados nuestros datos bancarios y de la tarjeta de crédito / débito se nos pide otro número de verificación y finalmente somos redirigidos a la web original de La Caixa tal y como muestra la imagen final. Un usuario inexperto no se dará cuenta de que, en este preciso momento va a comenzar un saqueo sucesivo y constante de su cuenta bancaria y del saldo de su tarjeta y, para cuando se haya dado cuenta, ya será demasiado tarde. Mucho ojo con dónde introducimos nuestros datos.

Share

Leave a Reply

preload preload preload